SUPEE-9767 - Какие символические ссылки являются плохими?

Когда мы говорим о символических ссылках и Magento, мы имеем в виду любые файлы Magento с символическими ссылками (особенно файлы шаблонов), которые включены в процесс компиляции и выполнения php.

Если вы прочтете следующие две статьи, это станет яснее.

• https://maxchadwick.xyz/blog/what-allow-symlinks-actually-does
• https://peterocallaghan.co.uk/2017/06/appsec-1281-dangerous-symlinks/

Magento проверяет путь представления шаблона в app/code/core/Mage/Core/Block/Template.php с его реальным путем к папке , и если символические ссылки не включены, и проверка завершается неудачно, он не включает файл шаблона.

Все шаблоны Magento, на которые есть символические ссылки, будут затронуты, если символические ссылки будут отключены после установки исправления. Модули Magento, которые не содержат шаблонов, могут не быть затронуты.

Включение символических ссылок позволяет загружать файлы шаблонов за пределами приложения/дизайна, и это угроза безопасности, которую Magento смягчает с нашивкой. Злоумышленник с правами администратора может включить вредоносный шаблон с символическими ссылками и удаленно выполнить код на вашем сервере.

Однако ничто не мешает вам вручную включить символические ссылки и провести собственную оценку рисков в отношении угроз для вашего бизнеса, которые это может привести.

Если вы управляете своими модулями с помощью modman, вам необходимо повторно включить символические ссылки, так как ваш магазин может быть сломан, что, вполне возможно, представляет большую угрозу для вашего бизнеса, чем возможный уязвимость символической ссылки.

Вы можете дополнительно уменьшить угрозу, связанную с включением символических ссылок, используя исправленную версию app/code/core/Mage/Core/Block/Template.php от автора modman.